Shai-Hulud

Никогда такого не было, и вот опять.

Что придет на смену жс в браузерах? VBscript, lua, wasm, а может лисп?

На перечисленных тобой ЯП никогда не писали малвари?

Почему никто не обсуждает

В контексте npm это уже на столько норма, что всем пофиг

Все новое - это хорошо забытое старое: ActiveX, Java, Flash, Silverlight

Про лисп надо спросить у lovesun. На wasm вроде не писали. Самая перспективная тезнология

Джава эпплеты вернутся, интернет станет опять lightweight

Почему никто не обсуждает новый червь npm

Видимо, всякий зловред в npm уже стал привычным фоном жизни.

Что придет на смену жс в браузерах? VBscript, lua, wasm, а может лисп?

При всей моей нелюбви к JS, справедливости ради, стоит таки отметить, что дело здесь не в самом языке как таковом. Был бы в браузерах вместо JS безальтернативно Lua, и был бы к нему точно такой же npm, работающий на тех же принципах — было бы всё то же самое.

В ходе новой атаки после получения параметров учётной записи сопровождающего в результате фишинга

В NPM есть какая-то проверка на ICQ? Типа если больше 80, то пакет невозможно опубликовать?

после получения параметров учётной записи сопровождающего в результате фишинга

Что будет с жс

Каким боком тут ЖС?

В ходе новой атаки после получения параметров учётной записи сопровождающего в результате фишинга

А что обсуждать-то?

А почему с ним что-то должно быть? Кто качает себе код из недоверенных источников, тот сам себе злобный буратино. Не нужно добавлять зависимости к своему проекту, и не будет никаких червей. А если добавляешь - просто проводи аудит каждой зависимости и каждого обновления, или плати тем, кто будет это делать для тебя.

Проверка сдохла вместе с аолом.

Никогда такого не было…

А, опередил…

интернет станет опять lightweight

Хипсторы не поймут и придумают новое тяжелое амно.

дело здесь не в самом языке как таковом. Был бы в браузерах вместо JS безальтернативно Lua, и был бы к нему точно такой же npm, работающий на тех же принципах — было бы всё то же самое.

Именно, проблема здесь в идеологии в целом. sudo cast Croco

Никогда такого не было, и вот опять, опять, опять

Fixed.

А причём тут идеология, если та же байда с атаками на популярные github-репозитории начала происходить и с cargo и с go. Просто npm чуть мусорнее и популярнее.

Пока культура программирования строится на том, что добавление зависимости в проект это обыденность, а не что-то из ряда вон выходящее, то такие «казусы» будут.

Сало як сало... 😎😉😁

И, да, спасибо за ссылку.

Сало як сало

О да, помню это веселье кода упоротые во благо борьбы с режимом решили в NPM насколько помню подсадить какую-то хрень которая удаляла или шифровала все до чего дотянется если обнаруживает себя на серверах в белоруссии

Отчего внезапно поломались серваки таких же либшизовых грантососов, которые оные разворачивали в картофельном рейхе

Это был прям эталонный фриндлифайр

Конечно! Все дело в сайтишке https://www.npmjs.com/, который ну никак не хочет навести порядок на своей платформе! Засудить бы их в какомнить суде Калифорнии триллионов эдак на тысячу, чтоб зашевелились!

Почему никто не обсуждает новый червь npm

Что такое npm? Вот и ответ.

Вот задолбал меня ютубчик тем, что сует свои шорты на главной и постоянно сооблазняет посмотреть что-то еще помимо того, что ты собирался, я поудалял шорты и рекомендованые видео в ublock - и красота. Веб плохой, но ничего лучше у нас нет. С десктопным и мобильным софтом так бы не получилось.

Не очень понятно, к чему это в данной теме… Так-то видеохостинг можно и вообще без JS сделать. HTML5 умеет в видео, список показывать тоже можно без всяких автоподгрузок.

А шортсы бесят, да. Но не столько в рекомендациях, сколько в подписках. Некоторые реально интересные каналы после большого видео часа на полтора выпускают ещё и фрагменты из него в виде шортсов. Могут аж штук 5 наклепать. И спамят ими в уведомления, получается. А канал хороший, отписываться не хочется. Но от пары даже пришлось.

И их-то можно понять. Они так себе повышают просмотры, в том числе и к полноценным видео народ привлекают — своеобразная реклама, а кто так не делает, оказывается в аутсайдерах. Здесь претензии именно к самому ютубу — что он такую фигню по сути провоцирует.

Это ещё не вся правда.

проблема не в выборе сортовскриптов, а в клиент-серверной архитектуре HTTP/x протоколов. а вот как сделать так, чтобы скрипты стали не нужны - это вопрос.

А что там?

Дюну обсуждают?

Дюну обсуждают?

Да, группу.

Повсюду черви, репозиторий нездоров,
Уже не первый. И всё же мы без докторов
Малварь не лечим, и полный NPM говна…
Так добрый вечер. Привет с большого бодуна

а вот как сделать так, чтобы скрипты стали не нужны - это вопрос.

Они не нужны уже сегодня. И вредны - батарейку сайты жрут как я лагман.

Форумы, блоги, банки, магазины и т. п. - всё без скриптов реализуется. Более того, если вебмакакоскриптов не будет - можно будет не стесняясь target=_blank использовать. Только надо ещё один добавить, для нового окна без интерфейса, которое сдохнет когда родителя закроют.

А всякие «веб-приложения» умереть должны. Нативные пишите. Да, втюхивать себя немамонту будет сложнее, но это только на пользу.

Ну и «метрики» маркетолухам собирать будет сложнее. И это тоже хорошо.

проблема не в выборе сортовскриптов, а в клиент-серверной архитектуре HTTP/x протоколов

Проблема в том, что они привыкли «собирать» своё поделие из 100500 левых зависимостей, что хостятся непонятно где, а потом и готовый кода кусок делать зависимым от чужих CDN.
Сервера они тоже ведь с докерхаба поднимать любят.

Вечером бабосы пилит наша дружная семья:
Линус - Линукс на макбуке, а Мэтт Хикс берёт тинкпад,
Цукерберг орёт в Фейсбуке, Грэкхем пилит КДЕ,
А оконовод Наделла: «ты подписке будешь рад!»

я имела в виду техническую сторону. проблемы асинхронных HTTP запросов к серверу, ради чего впендюрили всякие ajax'ы и тогда-то и расплодился жабаскрипт, а потом уже понеслось во все тяжкие.

чисто css-ный жабаскрипт не парит, хотя и не принципиален.

Неправильно понял, прошу прощения.

Соглашусь, но мне не асинхронность не нравится, а её реализация.

Было бы расширение инпутов и селектов, чтобы в стандартизированном виде список автокомплита приходил, или доступных значений для выбора - было бы топ.

Ну и можно вызов вида «вместо ссылки воткнуть ответ сервера» каким-нибудь атрибутом якоря. пусть тем же target=_element-{self,parent,after,before} - закрыли бы 90% сценариев. Тогда жабийскрипт не понадобился вовсе.

чисто css-ный жабаскрипт не парит

Немного, всё-таки, да. Я документ открываю? Что он как программа себя ведёт? Меня и в .pdf скрипты и видео парят. Хотя нет… за pdf вообще убить хочется.

асинхронность - это великолепно. только вот в браузерах она сделана через жопу. точнее, через скрипты. если бы был способ нативно делать асинхронные запросы к серверу без перезагрузки страницы, то жабаскрипт можно было бы торжественно закопать навсегда.

А вообще: тебе оно надо? Не надо. Мне, например, не надо. И поэтому пусть делают что хотят.